Allgemeines Rechte-System (Foren & Benutzergruppen), Frage nach massivem Problem

  • Affected Version
    WoltLab Suite 5.2

    (Vorab, die Frage stelle ich, weil es mir gestern das Rechte-System ziemlich zerschossen hat und ich keinerlei - annähernd logische - Erklärung dafür habe)


    Hallo zusammen,


    nachdem ich erst kürzlich während der System-Umstellung auf WoltLab in Kleinarbeit sämtliche Benutzergruppen und Einzelforen gesetzt und dort korrigiert hatte, wo der Importer die Rechte nicht korrekt übernehmen konnte, passte ruckzuck alles wunschgemäß.

    Lediglich die "Vererbung" von Rechten hier im System habe ich vermisst, bzw. die Option "Benutzergruppe auf Basis von... erstellen" (was deutlich schneller gehen würde). Aber damit kann ich leben.


    Nun hatten wir uns gestern durch einen Vorschlag meinerseits im Team dazu entschieden, doch wieder Neuuser zuzulassen und das eben mit Auflagen zu versehen.

    Ich wollte das System so einrichten, wie ich es auch früher schon in einem anderen Forum umgesetzt hatte.


    Gesagt, getan, ich brauchte dazu 2 weitere Benutzergruppen und 2 weitere "automatische Beförderungen", soweit kein Problem.

    Nachdem das alles zunächst klaglos funktionierte und ich auch das Cronscript zur Beförderung manuell angestoßen (und die betroffenen User korrekt befördert) hatte, war ich eigentlich happy und wollte das Ganze mit dem Testuser prüfen.

    Der "Schock" kam, nachdem er selbst in den höchsten Gruppen nur noch 2 Foren sah (die eigentlich NUR für die Neuankömmlinge mit weniger als 1 Beitrag gedacht waren) und der gesamte Rest komplett ausgeblendet war.

    Dafür konnte er umgekehrt (trotz Verbot und auch nach erneutem Gruppen-Entzug) über das "Dashboard" ALLE neuen Beiträge (außer Team-Forum) sehen, das jeweilige Forum betreten und dort sogar antworten!

    Die Rechte waren aber völlig anders gesetzt.


    Verdachtsweise habe ich dann sogar den System-Cache geleert und sogar mal Anzeigen aktualisiert, obwohl das eigentlich nichts mit derartigen Effekten zu tun haben dürfte. Aber bereits kurz vorher trudelten schon die ersten PNs von Usern und sogar Mods ein, warum sie dieses und jenes nicht mehr sehen könnten, wo die Foren geblieben seien und ähnliches.


    Was beim ersten Mal neulich noch so gut (wenn auch aufwendig) geklappt hatte, scheiterte nach dieser neuen Aufteilung nun kläglich. :( Ich entschied mich dann kurzerhand, das Forum in den Wartungsmodus zu setzen und ein wenige Stunden altes DB-Backup einzuspielen, um wenigstens meine alten Rechte-Settings zu retten.

    Zumal plötzlich ja auch Gruppen (wie die Mods) vom Chaos betroffen waren, deren Rechte ich überhaupt nicht verändert hatte.

    Es wurden irgendwie nur noch die Rechte der UNTERSTEN Gruppen übernommen, alleine höheren Rechte entweder völlig ignoriert oder sie führten in nicht nachvollziehbares Chaos an "Misch-Rechten", JEDER sah plötzlich irgendwas anderes.


    Und das offenbar nur, weil ich die beiden Gruppen "Jeder" und "Registrierte Benutzer" noch etwas weiter eingeschränkt hatte. Aber da es bei den Forenrechte kein "NIE" gibt und ich auch sonst keins vergeben habe, dürfte nach meinem Verständnis eigentlich eine untere Gruppe nicht die höheren Rechte einer weiteren blockieren, zumal man hier ja auch keinen User gänzlich aus einer dieser (nennen wir es mal "Standard-") Gruppen entfernen kann und jeder (eingeloggte) User immer in mindestens 2 Gruppen Mitglied ist.

    Selbst man jetzt "Jeder"nur als reine Gast-Gruppe betrachten würde. Aber auch die gibbet ja noch zusätzlich (was ich persönlich eigentlich für völlig überflüssig halte, wenn es schon ein "Jeder" gibt.... aber nun gut, ist nun mal so).


    Daher zweifele ich inzwischen an meinem Verständnis über dieses Rechtesystem und frage lieber euch "alteingesessenen WBB-Hasen". :) (bei mir ist die letzte Administration zu frühen Zeiten des 3er gewesen und auch nur sehr kurz, um einem Betreiber zu helfen).


    Vielleicht darf ich mal kurz die Aufteilung bzw. meinen Wunsch schildern, auf dessen Basis man sicher die Umsetzung erläutern kann:


    • Neuuser mit zunächst 0 Beiträgen kommt nach Freischaltung automatisch in Gruppe "Registrierte Benutzer". Diese ist dann soweit eingeschränkt, dass er zunächst nur 2 Foren innerhalb einer Kategorie ("Support" und "Bist Du neu hier?") bzw. ggf. auch 3, wenn man Team-Ankündigungen noch dazu nimmt, sehen kann. Nur in einem davon kann er auch seinen nersten Beitrag schreiben (eigener Thread mit Antwortmöglichkeit auf eigene Themen).
    • Nachdem der Thread freigeschaltet wurde und der nächste Cronjob durchlief, befindet sich der User in Gruppe "Reg. Ben. mit 1-5 Beiträgen". Hier kann er nun nahezu alle Foren sehen, die nächsten 4 Beiträge werden noch moderiert. Leserechte in allen (für ihn) zugänglichen Foren, Schreibrechte in 2 oder 3 Forenbereichen wie bei allen bisherigen Standard-Usern entzogen, in denen User nur (von Supportern, Team etc.) lesen sollen.
    • Hat er auch diese Hürde genommen, erfolgt die nächste (und vorerst letzte) Beförderung und er landet in (sinngemäß) "Reg. Ben. mit 5+ Beiträgen", welche dann auch gleichzeitig die "Haupt-Gruppe" für die meisten User darstellen soll. Also wie vorher die Standard-Gruppe "Reg. Ben." des Systems. In dieser Gruppe erfolgt nun keine Moderation mehr, die Forenrechte bleiben zunächst wie sie zuletzt waren und es ändern sich höchstens noch kleine Details (wie meinetwegen Signatur-Recht oder ähnliches).
    • Alle weiteren Beförderungen (ist dann nur noch max. eine) bzw. manuelle Zuweisung erfolgt dann nur situativ in Einzelfällen, bzw. nach einer gewissen Anzahl Beiträgen und Zugehörigkeit. Das bleibt aber dann wie bisher stehen und funktionierte ja bisher auch klaglos.


    Wie wäre solch ein Konzept am besten umzusetzen?

    Ich hatte es so versucht (der Logik nach, dass ich zunächst den Gruppen "Jeder" und "Reg. Ben." noch weiter eingeschränkt habe, um darauf dann additiv aufzubauen.

    Aber selbst User mit 4 oder mehr Gruppen hatten plötzlich nur noch die Rechte von "Jeder" oder maximal noch "Registrierte Benutzer". Also es blieb offenbar bei den 2-3 sichtbaren Foren, der Rest war "weg".

    Und das, obwohl die Beförderung einwandfrei funktioniert hatte und ich die User auch in den jeweiligen Gruppen (die deutlich höhere Rechte besaßen) korrekt sah.

    Bis hin zu den Super-Mods, auch sie sahen plötzlich nur noch Teilbereiche wie "Jeder".


    Auch wenn ich meinen Testuser manuell diesen diversen Gruppen zuordnete, kam ich zwar wie erwähnt übers Dashboard nahezu überall hin, in der Forenübersicht war aber nur diese eine Kategorie zu sehen, obwohl die Rechte der höheren Gruppen korrekt gesetzt waren.


    Was mir aber (auch schon bei der Einrichtung neulich) auffiel, war, dass a) bei etlichen Forenrechten einige Gruppen WEDER bei "erlaubt" noch "verweigert" ein Häkchen stehen hatte, es war alles ausgegraut bzw. "leer" und musste nochmals manuell gesetzt werden - und b), dass auch nicht in allen Foren ALLE Benutzergruppen auftauchen!. Das machte mich schon beim ersten Mal neulich stutzig, einen Großteil der Gruppen muss man tatsächlich in der Eingabezeile darunter erst "manuell" suchen, bevor sie dann doch noch in der Liste erscheint.

    Das scheint auch recht willkürlich zu geschehen, mal betrifft dieses Phänomen nur eigene Gruppen, mal nur Systemgruppen (z.B. alles außer "Administrator" und "Reg. Benutzer" verschwunden) und mal ein Gemisch aus beidem. Wie gesagt kann man dann aber jede (oder fast jede) weitere Gruppe über das Eingabefeld finden, wenn man den Gruppennamen kennt und manuell tippt, zumindest Anfänge davon. Erst ab da erscheint die jeweilige Gruppe dann in der "Liste" und kann ebenfalls bearbeitet werden.

    Die (relativ kurze) Beschreibung des Rechtesystems irgendwo im Forum (Handbuch-Auszug) geht leider nicht auf diese Funktion und nähere Rechte ein.


    Das ist für mich etwas verwirrend und ich kann mir keinen Reim auf dieses Verhalten machen, zumal mir das aus anderen Systemen bisher völlig fremd ist. Normal sieht (und braucht) man bei der Rechtevergabe ja ALLE Benutzergruppen an ALLEN Stellen, an denen Rechte vergeben werden können. Halt um ggf. etwas an- oder abwählen zu können.

    Idealerweise nach dem Prinzip "Haken dran" oder "Haken weg", gekoppelt mit einer Option "Alles auf Ja setzen" und "Alles auf Nein setzen", um dann schneller wenige Einzelpunkte an- oder abwählen zu können.

    Quais so, wie es hier (nur) bei den Forenrechten ja auch sehr ähnlich umgesetzt wurde.


    An dieser Stelle steige ich noch nicht ganz durch, also a) warum dort an einigen Stellen (bzw. fast immer, nur in unterschiedlicher Form) nicht alle Benutzergruppen direkt erscheinen - und b) warum dann nach einiger Zeit plötzlich in Teilbereichen nirgendwo mehr ein Häkchen sitzt, obwohl es vorher mal nachweislich manuell gesetzt (und gespeichert) wurde. Sobald dieselbe Gruppe im Nachhinein neu bearbeitet wird (oder nur der Modus aufgerufen) wird, scheinen manche Rechte wieder auf Null gesetzt zu sein, was für mich keinen Sinn ergibt. Erstrecht nicht, wenn die Rechte trotzdem noch vorhanden, aber im ACP nicht mehr als "gegeben oder entzogen" zu erkennen sind.

    Klar, ich könnte mir einen Nutzer aus der jeweiligen Gruppe ziehen und prüfen, welche Rechte er nun eigentlich besitzt, aber das wäre ja doch auf Dauer ziemlich umständlich.


    Nun ist es ein ganzer Roman geworden, aber das Thema und Verhalten ist auch ziemlich komplex und schwer zu beschreiben. Vielen Dank jedenfalls an diejenigen, die es bis hierher ausgehalten haben :D und vielleicht kann ja jemand etwas Licht in das (mein) Dunkel bringen. Vielen Dank vorab.

    (irgendwann werde ich dieses Vorhaben dann nochmals in Angriff nehmen, aber vorerst nicht)


    LG

    Jörg

    Gruß

    Jörg

    (Jaydee)

  • Hallo,


    ja, das war exakt der Artikel, den ich oben meinte. Den hatte ich Anfang des Jahres schon bevor die Lizenz gekauft wurde entdeckt und gelesen, brachte mir aber insofern keine neuen Erkenntnisse, weil ich dieses Prinzip bereits aus früheren WoltLab Systemen sinngemäß kannte (also natürlich unabhängig von späteren Erweiterungen wie "Nie" usw.) und ich das auch von der Logik her so vollzogen hätte.

    Und der Titel sagt es ja schon: "Eine kurze Einführung zu den vorgegebenen Benutzergruppen und dem Rechtesystem."

    Es geht also nicht auf "Sonderfälle" oder gar bestimmtes Verhalten des Rechtesystems ein, sondern ist wahrscheinlich eher als erstes "How to" für absolute Neu-Einsteiger in Sachen Foren-Adminstration zu verstehen, um die Grundsätze zu begreifen.


    Beim ersten Mal hat es auch (mit minimalen Stolperstellen) soweit wunderbar geklappt, nach kürzester Zeit hatte Jeder die Rechte, die haben sollte und wollte.


    Mir kam aber gestern noch eine andere Idee bzw. Verdacht, was dieses Verhalten vllt. ausgelöst haben "könnte":

    Kann das evtl.. mit dem vorher erfolgten IMPORT aus einem anderen System zusammenhängen, bei es einerseits deutlich mehr Rechte-Optionen gab und andererseits die Philosophie dahinter auch etwas anders ist?

    Also wenn man dann die (System- wie auch eigenen) Gruppen nachträglich nochmals bearbeitet und erweitert, es dadurch evtl. zu Kollisionen kommt?


    Klingt zwar wahrscheinlich zunächst weit hergeholt kam mir aber als möglicher Effekt in den Sinn. Denn selbst wie in dem Artikel (in Kurzform) beschrieben funktionierte es ja eben gestern nicht.

    Wenn plötzlich nahezu nur noch "Jeder" greift, bräuchte man ja keine höherwertigen Gruppen mehr, oder verstehe ich da irgendwas falsch.


    Anders gefragt: Gibt es evtl. "versteckt" irgendeine Funktion, die es untersagt dass weitere Gruppen-Rechte überhaupt greifen und ich habe die übersehen?

    Halt ähnlich wie im vB die Option "Kann die Rechte einer zusätzlichen Benutzergruppe übernehmen [Ja/nein]"?

    Denn das würde es ja schlagartig erklären, dann wäre jede weitere Gruppe mit stark abweichenden Rechten rechtetechnisch "inaktiv", obwohl zugewiesen.

    Gruß

    Jörg

    (Jaydee)

  • Ja, das Rechtesystem ist mega komplex. Vielleicht hilft das hier:


    WBB3 Berechtigungen verstehen


    Vom Grundprinzip hat sich nicht viel geändert, außer, dass du jetzt auch ein "NIE" setzen kannst, was vieles vereinfacht und es einige neue/geänderte Rechte gibt. Ich denke, du hast "NIE" zu oft gesetzt, wenn auch normale Nutzer nicht mehr sehen konnten, was sie sollten.


    Ich habe die kompletten Rechte in Excel:

    sich einen Überblick über die Berechtigungen verschaffen

    Ist natürlich jetzt nicht mehr ganz aktuell, das war für 4.1 . Irgendwer hatte das auch anders herum bereit gestellt, wenn dir das besser gefällt. Also Spalten und Zeilen vertauscht. Mir gefällt es so nach wie vor gut ;) .


    Alternativ gibt es für solche Probleme jetzt aber auch ein PlugIn:

    Da müsstest du schnell sehen, warum irgendwer, irgend etwas nicht kann.


    Diese Übersicht im ACP passt bei mir auch nicht in jedem Fall mit der Anzeige :/. Keine Ahnung warum. Wir testen tatsächlich alle Rechte auf einer Testumgebung und später nochmal live grob durch.


    Aber es bleibt dabei, dass das ganz schön Arbeit ist, wenn man das individuell gestalten will. Aber immerhin kann man eigentlich wirklich fast alles gestalten wie man möchte :) . Sogar die privaten Foren gibt es ja nun. Damit kann man ein Forum quasi mit einem Klick so einrichten, dass der User nur eigene Themen sehen kann.


    Grundsätzlich entscheiden muss man sich, ob man der Benutzergruppe erst das Recht gibt alle Foren zu lesen usw. und es dann über die Forenrechte einschränkt oder ob man dies der Gruppe verweigert und in den Forenrechten jedes Forum einzeln erlaubt. Genauso bei den anderen Rechten, die man auch pro Forum vergeben kann. Wenn man da was mal hier und mal da macht, ist der Überblick meiner Ansicht nach so gut wie verloren :D .

    Liebe Grüße
    Susi

  • Anders gefragt: Gibt es evtl. "versteckt" irgendeine Funktion, die es untersagt dass weitere Gruppen-Rechte überhaupt greifen und ich habe die übersehen?


    Außer der Berechtigungsstufe "Nie" gibt es da nichts. Es gilt immer noch der alte Grundsatz, dass die Berechtigungen eines Benutzers der Summe der Erlaubnisse aus allen Gruppen abzüglich der "Nie"-Berechtigungen bzw. dem "besten Wert" bei quantitativen Einstellungen entsprechen.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Hallo Susi,


    oh, das sieht schon auf den ersten Blick total klasse, vielen lieben Dank für den Link! :)

    Das werde ich mir dann mal in Ruhe zu Gemüte führen und verinnerlichen.


    Auch das mit dem Plugin klingt interessant das würde es auf jeden Fall vereinfachen und vermutlich übersichtlicher machen.


    "Nie"-Rechte habe ich wie gesagt (ganz bewusst, obwohl ich kurz mal mit dem Gedanken gespielt hatte) nirgendwo gesetzt, um eben derartige Effekte zu vermeiden und im Moment sehe ich auch bei keiner Funktion die Notwendigkeit dazu. Spätestens einige Mods und vor allem wir beiden Admin sollen natürlich z.B. Anhänge hochladen dürfen, als dürfte ich schon aus dem Grunde auch dabei kein "Nie" setzen, das alles andere überschreiben würde.

    Aber bei den Forenrechten gibt es diese Option ja eh nicht, nur bei den allgemeinen Gruppen-Rechten.


    Lieben Dank noch mal, das werde ich auf jeden Fall in ruhiger ZEit mal durcharbeiten. :_)


    Lieben Gruß

    Jörg



    //PS norse: Hi, das kam jetzt noch dazwischen. Danke auch dafür, dann habe ich das System ja doch richtig begriffen (und so ist es ja auch allgemein üblich).

    Dann scheidet also auch ein "Verbot" der Rechteübernahme aus (bis auf halt "Nie", aber das hatte ich einkalkuliert)..

    Gruß

    Jörg

    (Jaydee)

  • Ich weiß jetzt nicht aus welchem System du umgezogen bist und wie die Rechte dort vergeben werden, kann also nicht sagen, was da übernommen wird. Ich weiß nur, dass es in unterschiedlichen Systemen immer andere Rechtekonzepte und Möglichkeiten gibt. Da muss man sich immer erstmal rein denken.


    Wenn du das Excelsheet für die aktuelle Version willst, dann kann ich sie dir auch schicken. Ist gerade erst fertig geworden.

    Liebe Grüße
    Susi

  • Neuuser mit zunächst 0 Beiträgen kommt nach Freischaltung automatisch in Gruppe "Registrierte Benutzer".

    Die grundlegenden Berechtigungen würde ich bereits für diese Benutzergruppe vergeben (ACP > Benutzer > Benutzergruppen > Registrierte Benutzer). Dafür sind KEINE Änderungen an einzelnen Foren notwendig.

    Nachdem der Thread freigeschaltet wurde und der nächste Cronjob durchlief, befindet sich der User in Gruppe "Reg. Ben. mit 1-5 Beiträgen". Hier kann er nun nahezu alle Foren sehen, die nächsten 4 Beiträge werden noch moderiert. Leserechte in allen (für ihn) zugänglichen Foren, [...]

    Und auch diese Berechtigungen würde ich wiederum für diese Benutzergruppe vergeben (ACP > Benutzer > Benutzergruppen > Reg. Ben. mit 1-5 Beiträgen). Auch hier sind KEINE Änderungen an einzelnen Foren notwendig.

    Hat er auch diese Hürde genommen, erfolgt die nächste (und vorerst letzte) Beförderung und er landet in (sinngemäß) "Reg. Ben. mit 5+ Beiträgen", welche dann auch gleichzeitig die "Haupt-Gruppe" für die meisten User darstellen soll. Also wie vorher die Standard-Gruppe "Reg. Ben." des Systems. In dieser Gruppe erfolgt nun keine Moderation mehr, die Forenrechte bleiben zunächst wie sie zuletzt waren und es ändern sich höchstens noch kleine Details (wie meinetwegen Signatur-Recht oder ähnliches).

    Und auch diese Berechtigungen würde ich wiederum für diese Benutzergruppe vergeben (ACP > Benutzer > Benutzergruppen > Reg. Ben. mit 5+ Beiträgen). Auch hier sind KEINE Änderungen an einzelnen Foren notwendig.

    Diese ist dann soweit eingeschränkt, dass er zunächst nur 2 Foren innerhalb einer Kategorie ("Support" und "Bist Du neu hier?") bzw. ggf. auch 3, wenn man Team-Ankündigungen noch dazu nimmt, sehen kann. Nur in einem davon kann er auch seinen nersten Beitrag schreiben (eigener Thread mit Antwortmöglichkeit auf eigene Themen).

    Die notwendigen Berechtigungen für die Benutzergruppe „Registrierte Benutzer“ würde ich explizit für die jeweiligen Foren vergeben (ACP > Apps > Foren > Berechtigungen). Sonst stehen dort KEINE anderen Benutzergruppen.

    Schreibrechte in 2 oder 3 Forenbereichen wie bei allen bisherigen Standard-Usern entzogen, in denen User nur (von Supportern, Team etc.) lesen sollen.

    Die zugehörigen Rechte (Kann Themen starten, Kann auf Themen antworten, ...) würde ich explizit für die jeweiligen Foren der Benutzergruppe „Jeder“ verweigern und den Benutzergruppen „Supporter“, „Team“ etc. erlauben. Sonst stehen dort KEINE anderen Benutzergruppen.

    Alle weiteren Beförderungen (ist dann nur noch max. eine) bzw. manuelle Zuweisung erfolgt dann nur situativ in Einzelfällen, bzw. nach einer gewissen Anzahl Beiträgen und Zugehörigkeit. Das bleibt aber dann wie bisher stehen und funktionierte ja bisher auch klaglos.

    Und auch hier arbeitest du soweit nur möglich mit Benutzergruppen.

  • Vielen Dank für Deine Mühe. :)

    Wenn ich Dich richtig verstanden habe, hatte ich es auch genau so gemacht (anders geht es glaube ich auch gar nicht).



    Sonst stehen dort KEINE anderen Benutzergruppen.

    Was bedeutet in dem Fall "sonst"? Also welche Bedingung muss erfüllt sein, um in den Rechten ALLE Benutzergruppen aufgelistet zu bekommen?


    Ich verstehe die Trennung zwischen den Rechten so, wie es auch in anderen Systemen üblich ist: Benutzerrechte vergeben nur die grundsätzlichen Rechte (unabhängig von Foren), wie z.B. Benutzung von Signaturen, Anhängen, Avataren, Konversationen usw.

    Während die Forenrechte explizit regeln, WELCHE Benutzergruppe in WELCHEM Forum WAS darf oder nicht darf.

    Nach diesem Prinzip hatte ich es konfiguriert und bin Forum für Forum (und dann noch für jede Gruppen einzeln) durch gegangen.


    Und auch hier arbeitest du soweit nur möglich mit Benutzergruppen.

    Was wäre denn sonst die Alternative? In der Benutzergruppe selbst kann ich ja nicht festlegen, welche Foren sie sehen darf und was sie dort dann tun darf. Also muss ich doch dazu zwangsläufig in die Forenrechte gehen (und dort die Gruppe und jedes Einzelforum oder zumindest Kategorie suchen, falls Vererbung möglich ist), oder war das falsch?


    Was mich nur leicht verwirrt hatte, dass ich zwar (wie gewünscht) eigene Benutzergruppen kopieren (und dann leicht modifizieren) kann, aber nicht die Standardgruppen des Systems. Dabei wäre gerade "Registrierte Benutzer" sinnvoll und schön zur Anpassung (in der Kopie), um nicht immer wieder bei Adam & Eva anfangen zu müssen.


    Wobei ich (noch) nicht weiß, ob dann in der Kopie auch automatisch die gesetzten Forenrechte übernommen werden oder NUR die allg. Benutzerrechte. Das lässt sich aber prüfen.


    Die notwendigen Berechtigungen für die Benutzergruppe „Registrierte Benutzer“ würde ich explizit für die jeweiligen Foren vergeben (ACP > Apps > Foren > Berechtigungen). Sonst stehen dort KEINE anderen Benutzergruppen.

    Auch das hatte ich genau so gemacht (und auch so verstanden), aber eben das führte offenbar dazu, dass plötzlich auch die höherwertigen Gruppen (die ich gar nicht modifiziert hatte) nur noch diese Rechte besaßen, obwohl ein User auch dort Mitglied war. Sogar die Supermoderatoren betraf das, die ja noch weine weitere Zusatzgruppe haben.


    Sie konnten nach Bearbeitung der Gruppe "Registrierte Benutzer" schlagartig viele Forenbereiche gar nicht mehr sehen und genau an dem Punkt brach schlagartig mein Verständnis für das Rechtesystem ein. Denn allgemein kenne ich nur das Prinzip "Ein Ja gewinnt immer gegen ein Nein" und "höhere Zahlenwerte überschreiben niedrige Werte". Wie es ja laut Kurzbeschreibung auch hier eigentlich der Fall sein soll (und auch sinnvoll ist).

    Aber genau das passierte eben nicht, stattdessen wurden Rechte entzogen bzw. nur noch die der einen Gruppe angewendet, der Rest offenbar komplett ignoriert.


    Daher oben meine Frage (die ja zurecht verneint wurde), ob es evtl. eine "versteckte" Option gäbe, die die weiteren Gruppenrechte unterbindet (abgesehen vom "Nie" natürlich).

    Denn ansonsten kann ich nicht nachvollziehen, warum ein User "Forum 123" nicht sehen/betreten kann", obwohl mindestens eine seiner Gruppen das Recht dazu verleiht und das bisher auch funktioniert hatte.


    Irgendwie verstehe ich nicht, warum diese Rechte automatisch entzogen werden, sobald ich nur EINE der untersten Gruppen (oder zusätzlich auch "Jeder) bearbeite. Das ist der Punkt, an dem es bei mir noch hakt.


    Und zum Zweiten noch der andere Punkt: Warum bei diesen entzogenen Rechten auf "Umwegen" über das Dashboard dann doch plötzlich Themen aus diesen Foren gesehen und sogar beantwortet werden können, obwohl der User ja angeblich gar kein Recht dazu hat und auch in der Forenübersicht nur 2 Foren sieht?

    Das wäre ja so, als ob ein Google-Bot plötzlich in Team-Foren gucken könnte, wenn er nur die URL dazu "errät". Das kann er aber nicht, wenn ich ihm die Rechte dazu nicht erteile.


    Die zugehörigen Rechte (Kann Themen starten, Kann auf Themen antworten, ...) würde ich explizit für die jeweiligen Foren der Benutzergruppe „Jeder“ verweigern und den Benutzergruppen „Supporter“, „Team“ etc. erlauben.

    So war es auch in dem Fall konfiguriert. "Jeder" habe ich von vornherein schon nahezu jedes Recht entzogen (was ja auch sinnvoll ist) und an da stufenweise über die Gruppen gesteigert. Aus der Erinnerung habe ich dieser Gruppe nur das allgemeine Recht erteilt, das "Forum als solches "sehen zu können. Alles andere mehr oder weniger auf "Nein", da es ja nicht mal eine Gast-Gruppe ist.


    Also Priorität ist etwa so (von unten nach oben): Jeder -> Gäste -> Registrierte Benutzer -> höherwertige Benutzergruppen und Team-Gruppen


    Ich selbst bin als Einziger zusätzlich in der "System-Administrator" Gruppe (entspricht dem Super-Admin) und sehe jederzeit alles, egal wie die unteren Gruppen gesetzt sind, in denen ich ebenfalls Mitglied bin. Bei mir hatte es also nach wie vor funktioniert als Admin, nur bei allen Anderen plötzlich nicht mehr.

    Sie konten selbst in 5 Gruppen sein und hatten trotzdem offensichtlich NUR noch die Rechte "Registrierte Benutzer" (nur mit der Zusatzoption, über Dashboard trotzdem überall ran zu kommen und sogar antworten zu können).


    Das regte in mir den Verdacht, dass irgendeine Funktion plötzlich praktisch allen Gruppen das Anzeigerecht für die meisten Foren entzogen hatte.

    Rief man dann einige dieser Gruppen in den Forenrechten auf, waren wie gesagt dort NIRGENDWO Häkchen gesetzt, Du konntest also gar nicht prüfen, OB und WELCHE Rechte da überhaupt gesetzt waren... Alles "blank", auf beiden Seiten.

    Also fing ich zunächst an, diese Rechte wieder alle manuell zu setzen, aber das dauert ja ewig bei vielen Gruppen und vielen Foren.

    Also hate ich mich dann lieber für das Backup entscheiden, um wenigstens den "lauffähigen" Stand wiederherzustellen.


    Wenn du das Excelsheet für die aktuelle Version willst, dann kann ich sie dir auch schicken. Ist gerade erst fertig geworden.

    Hallo Susi,


    sehr gerne. :) Im Moment komme ich zwar nicht dazu und will die Rechte vorläufig auch gar nicht mehr anfassen (zumindest solange nicht, bis sich meine Verwirrung etwas gelegt hat und ich wieder mehr Zeit dazu habe), aber wenn ich da später noch mal auf Dich zukommen darf, sehr gerne.

    Vielen Dank schon mal.


    LG

    Jörg

    Gruß

    Jörg

    (Jaydee)

  • Was bedeutet in dem Fall "sonst"? Also welche Bedingung muss erfüllt sein, um in den Rechten ALLE Benutzergruppen aufgelistet zu bekommen?

    Wenn du eine Benutzergruppe dort hinzufügst, dann vergibst du für diese Benutzergruppe explizite Berechtigungen, indem du etwas erlaubst oder verweigerst.

    Während die Forenrechte explizit regeln, WELCHE Benutzergruppe in WELCHEM Forum WAS darf oder nicht darf.

    Nach diesem Prinzip hatte ich es konfiguriert und bin Forum für Forum (und dann noch für jede Gruppen einzeln) durch gegangen.

    Das ist bestenfalls dann sinnvoll, wenn wirklich jedes Forum andere Rechte besitzt, ansonsten würde ich erstmal immer empfehlen, die generellen Berechtigungen für die Benutzergruppen zu vergeben, und lediglich für Sonderfälle explizite Forenberechtigungen zu verwenden.

    Warum bei diesen entzogenen Rechten auf "Umwegen" über das Dashboard dann doch plötzlich Themen aus diesen Foren gesehen und sogar beantwortet werden können, obwohl der User ja angeblich gar kein Recht dazu hat und auch in der Forenübersicht nur 2 Foren sieht?

    Das wäre ja so, als ob ein Google-Bot plötzlich in Team-Foren gucken könnte, wenn er nur die URL dazu "errät". Das kann er aber nicht, wenn ich ihm die Rechte dazu nicht erteile.

    Dann fehlt dem Benutzer wohl das Recht „Kann Forum sehen“ aber er besaß das Recht „Kann Themen lesen“.

    Das regte in mir den Verdacht, dass irgendeine Funktion plötzlich praktisch allen Gruppen das Anzeigerecht für die meisten Foren entzogen hatte.

    Rief man dann einige dieser Gruppen in den Forenrechten auf, waren wie gesagt dort NIRGENDWO Häkchen gesetzt, Du konntest also gar nicht prüfen, OB und WELCHE Rechte da überhaupt gesetzt waren... Alles "blank", auf beiden Seiten.

    Also woher könnte das Recht denn kommen und wohin könnte es verschwinden? Man könnte das Recht ganz generell über eine seiner Benutzergruppen erhalten, oder aber durch eine explizite Erlaubnis für das Forum, da gibt es sonst nichts.


    Und man könnte es verlieren, indem in einer der Benutzergruppen die Einstellung „Nie“ verwendet wird, oder aber ein explizites Verbot für die Kategorie bzw. das Forum besteht, das nicht durch eine andere Gruppe wieder aufgehoben wird.


    Probiere das doch einfach mal in einer Testkategorie und einigen Testforen.

  • Wenn du eine Benutzergruppe dort hinzufügst, dann vergibst du für diese Benutzergruppe explizite Berechtigungen, indem du etwas erlaubst oder verweigerst.

    Soweit klar, aber ich muss eben die besagte Gruppe erst manuell "suchen" und hinzufügen (nach einem scheinbar willkürlichen Prinzip tauchen da immer nur einzelne Gruppen auf, andere dafür nicht).


    Ich vermute stark, dass es wirklich ein Verständisproblem meinerseits ist, weil die Logik hinter dem System eine andere ist als die, die ich lange Zeit gewohnt war.

    Ich kann derzeit noch nicht nachvollziehen, warum 1. nicht alle Gruppen IMMER sichtbar und auf Wunsch auswählbar sind und 2. nach welchem "Zufalls-Prinzip" sie an den unterschiedlichen Stellen erscheinen (oder auch nicht erscheinen).


    ansonsten würde ich erstmal immer empfehlen, die generellen Berechtigungen für die Benutzergruppen zu vergeben, und lediglich für Sonderfälle explizite Forenberechtigungen zu verwenden.

    Ah, ich glaube jetzt bin ich einen deutlichen Schritt weiter: Also ist es so, wenn ich der Gruppe z.B. generell Schreibrechte (unmoderiert) und entsprechende Leserechte verleihe, dass das dann pauschal für ALLE Foren & Kategorien gilt?

    Und ich diese Rechte dann gar nicht zusätzlich für die einzelnen Foren vergeben muss?

    Ich glaube, dann hatte ich mir anfangs eh doppelte Arbeit gemacht! :D

    Denn ich bin anschließend mühsam Forum für Forum durchgegangen um dort noch mal "Ja-Rechte" zu setzen, für praktisch alle Gruppen (die nicht ohnehin durch den Import schon korrekt gesetzt waren).


    Das dürfte dann in der Tat der Schlüssel sein. Heißt, in dem Fall würden dann die "Nein-Rechte" einzelner Foren die Benutzergruppenrechte überschreiben?

    Also pauschal "Kann sehen/betreten/lesen/schreiben/antworten...." erst mal alles auf "Ja" und dann nachträglich nur für einzelne Bereiche wieder entziehen? Und ansonsten im Rest gar nicht nötig?

    Das würde es ja in der Tat deutlich vereinfachen.


    Dann fehlt dem Benutzer wohl das Recht „Kann Forum sehen“ aber er besaß das Recht „Kann Themen lesen“.

    Das kann ich eigentlich zu 100% ausschließen, da ich a) diese Rechte erteilt hatte und es b) ja auch bis zum beschrieben Fall vorige Tage klaglos funktionierte.

    Und obwohl an den höheren Gruppen nichts mehr verändert wurde, waren auch dort diese Teilrechte plötzlich futsch.

    Das war für mich das Rätsel.

    Nur die unterste Gruppe (neben "Jeder" und "Gäste") hatte wie gesagt neuerdings diese Einschränkung, die gewollt war. Alle höheren Gruppen behielten ihre Rechte und die User waren dort auch zusätzlich Mitglied.

    Das war und ist der Hauptpunkt, den ich dabei nicht verstehe.

    Es war auch nirgendwo ein "Nie" im Spiel, das es erklären würde.


    Meine Idee heute war, dass ich beim nächsten Mal zunächst zusätzliche Gruppen schaffe (kopiere), die ich ausschließlich für meinen Testuser benutze und alle anderen Nutzer außen vor lasse.

    Damit werde ich dann erst mal ausgiebig spielen, bis ich den Knackpunkt gefunden habe.

    Und diese Rechte dann auf die "scharfen" Gruppen übertragen, sobald alles passt.


    Auf jeden Fall herzlichen Dank für Deine ausführliche Antwort und Geduld, das hilft mir schon mal einen großen Schritt weiter. Mir war nämlich nicht bewusst, dass auch mit den Benutzerrechten quasi pauschale Forenrechte vergeben werden und diese bestenfalls noch eingeschränkt werden müssen.


    Die Rechtevererbung müsste ansonsten ja nach dem bekannten Prinzip "Kategorie -> Forum -> Unterforum/Unterforen" funktionieren, denke ich mal.

    Also so, dass wenn ich Kategorie A verbiete, das auch alle untergeordneten Foren automatisch betrifft und nicht jedes einzeln nochmals setzen muss. Es sei denn, ich möchte dort in einem nochmals abweichende Rechte.


    Ich hatte es wohl bisher so verstanden, dass ein pauschales "Kann Forum sehen -> Nein" in den Benutzergruppen-Rechten bedeutet, dass diese Gruppe das gesamte Forum bis auf Header und Footer nicht sehen kann, was bis auf "Jeder" natürlich vollkommener Schwachsinn wäre, daher hatte ich das vermieden.

    Gruß

    Jörg

    (Jaydee)

  • Ich kann derzeit noch nicht nachvollziehen, warum 1. nicht alle Gruppen IMMER sichtbar und auf Wunsch auswählbar sind und 2. nach welchem "Zufalls-Prinzip" sie an den unterschiedlichen Stellen erscheinen (oder auch nicht erscheinen).


    Kannst Du das bitte konkretisieren?


    Ansonsten kann ich Deine jüngste Erkenntnis zum Zusammenspiel der Berechtigungen nur bestätigen. Es sollten die primären Berechtigungen zunächst über die Gruppen gesetzt werden. Nur wenn in bestimmten Bereichen davon abgewichen werden soll, ist es notwendig, mit Hilfe der Forenrechte weiter zu spezifizieren.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Kannst Du das bitte konkretisieren?

    Gerne: Ich rufe im ACP beispielsweise eines der Team-Foren auf. Dort sehe ich unter Berechtigungen dann praktisch alle Gruppen (plus meinem Testuser, dem ich Einzelrechte gegeben hatte). Soweit würde ich es auch erwarten.


    Dann rufe ich ein weiteres Team-Forum mit denselben Rechten auf (beide im Mod-Bereich) und finde dort unter Berechtigungen aber nur noch:

    • Jeder
    • Gäste
    • Registrierte Benutzer
    • Administratoren
    • Gesperrte Benutzer

    sowie meinen Admin-Account. Der gesamte Rest (viele Gruppen) ist ausgeblendet. DIese können dann bestenfalls über die Eingabezeile (ebenso wie einzelne User) manuell gesucht und hinzugefügt werden.

    Die Logik, die sich dahinter verbirgt, erschließt sich mir einfach nicht. Warum nicht "alle"? Und warum bei selben Rechten mal diese Gruppen, mal jene und mal alle?


    Das Beispiel lässt sich beliebig auf andere Forenbereiche erweitern, das tritt an unzähligen Stellen und in scheinbar nach einem willkürlichen "Zufallsprinzip" auf.

    In einem Fall (ich weiß gerade nicht mehr wo genau) war es sogar mal so, dass NUR noch Adminstratoren und Moderatoren sichtbar waren, alles andere war schlicht "futsch" und nicht auswählbar. Musste also ebenfalls wieder jeweils manuell "geholt" werden.


    Der Sinn dieser Funktion erschließt sich mir einfach nicht. Und auch nicht, nach welchem Prinzip sie arbeitet bzw. "filtert". Ich kann da keine Filter setzen, es passiert willkürlich.

    Gruß

    Jörg

    (Jaydee)

  • Die Logik, die sich dahinter verbirgt, erschließt sich mir einfach nicht. Warum nicht "alle"? Und warum bei selben Rechten mal diese Gruppen, mal jene und mal alle?

    Du trägst dort selber nur die Gruppen ein, bei denen du vom Standard abweichen willst. Also, entweder darf nach den Gruppenrechten keiner Foren sehen und du weist das Recht in den Foren explizit zu oder es dürfen alle alle Foren sehen und du verbietest es den Gruppen, die das doch nicht sehen sollen..


    Wie herum man das aufzieht, ist davon abhängig was mehr Arbeit ist oder wie herum es dir eben besser gefällt.

    Liebe Grüße
    Susi

  • Der gesamte Rest (viele Gruppen) ist ausgeblendet. DIese können dann bestenfalls über die Eingabezeile (ebenso wie einzelne User) manuell gesucht und hinzugefügt werden.

    Standardmäßig stehen dort keine Gruppen. Man fügt dann die Gruppen über die Suche hinzu, denen man dort Rechte geben möchte. So bleibt es übersichtlicher als wenn dort immer alle Gruppen stehen würden.


    Dort sehe ich unter Berechtigungen dann praktisch alle Gruppen

    Ohne es jetzt im Detail angeschaut zu haben, klingt das viel zu übertrieben. Bist du sicher, dass du dort wirklich ALLEN Gruppen spezielle Rechte geben musst?

  • Bist du sicher, dass du dort wirklich ALLEN Gruppen spezielle Rechte geben musst?

    Nicht zwangsläufig "müssen", aber ich würde zumindest gerne die Möglichkeit dazu haben (in der Übersicht).

    Mindestens aber die Gruppe dort aufrufen können um zu prüfen, ob nicht doch versehentlich Zugriffsrechte gesetzt wurden.

    Es gibt ja hier offenbar keine pauschale Auflistung aller vergebenen Rechte (oder ich habe sie noch nicht entdeckt), also ginge das praktisch nur über die Foren und dann nach Benutzergruppen. Ok, ich habe gesehen, dass es ein Plugin dafür gibt, das das könnte.


    Mich machte nur stutzig, dass die beiden Foren im Beispiel exakt gleich gesetzt sind, trotzdem dort aber unterschiedliche Benutzergruppen (die ja jeweils dieselben Rechte dafür haben) auftauchen. Den Grund verstehe ich nicht.

    Wenn wenigstens das erste Forum auch nur die wenigen genannten aufweisen würde, könnte ich es ja noch halbwegs nachvollziehen.

    Aber warum mal "so" und mal "so"? Das erscheint völlig willkürlich bei dieser Funktion.


    Wie herum man das aufzieht, ist davon abhängig was mehr Arbeit ist oder wie herum es dir eben besser gefällt.


    DAS ist schon mal eine ganz wesentliche Aussage, Susi. :) Danke schön.

    Denn ich hätte sonst noch die Frage gehabt, ob ich auch umgekehrt bei "Nein" Rechten der Benutzergruppe (also "Kann Foren sehen") trotzdem 2 einzelnen Foren ein "Ja" für die Gruppe zuweisen kann und dieses dann auch in dem Fall das (pauschale) Nein überschreibt.

    Das ist damit beantwortet und hilft mir sehr. :thumbup:

    Gruß

    Jörg

    (Jaydee)

  • Mindestens aber die Gruppe dort aufrufen können um zu prüfen, ob nicht doch versehentlich Zugriffsrechte gesetzt wurden.

    Wenn die Gruppe dort nicht aufgelistet ist, dann wurden keine Rechte vergeben. Du musst die Gruppe ja hinzufügen, damit du Rechte vergeben kannst. Und entfernst die Gruppe dort wieder, entfernst du auch die gesetzten Rechte.


    Mich machte nur stutzig, dass die beiden Foren im Beispiel exakt gleich gesetzt sind, trotzdem dort aber unterschiedliche Benutzergruppen (die ja jeweils dieselben Rechte dafür haben) auftauchen. Den Grund verstehe ich nicht.

    Der Grund wird vermutlich sein, dass jemand bei den Foren unterschiedliche Gruppen hinzugefügt hat. Wie gesagt: Standardmäßig stehen dort keine Gruppen. Die muss man selbst über die Suche hinzufügen. Und man fügt eigentlich nur die Gruppen hinzu, die nötig sind, um die Rechte so einzustellen, wie man es gerne hätte.

    Edited once, last by ReeN ().

  • Ok, dann wäre eine mögliche Erklärung, dass diese Gruppen bereits durch den Import neulich dort hinterlegt wurden.

    Denn ich hatte tatsächlich zunächst keine Gruppen irgendwo hinzugefügt, sondern es standen ab der ersten Minute praktisch überall "irgendwelche" Gruppen.


    Das mag dann tatsächlich durch den Import (es war ja kein frisch aufgesetztes System) gekommen sein, das wäre eine mögliche Erklärung.


    Super, so langsam bringe ich Licht in die Sache (bzw. genauer gesagt ihr tut das) und kapiere das System Stück für Stück mehr.


    Vermutlich ist das Ganze auch wesentlich einfacher, wenn man als absoluter Einsteiger gleich damit beginnt (und sich somit Schritt für Schritt damit beschäftigt), statt jahrzehntelang mit der Materie, aber anderen Systemen zu tun zu haben und sich dann umstellen zu müssen.


    Jedenfalls vielen lieben Dank an Euch alle, das hat mir schon massiv weiter geholfen! :thumbup:


    Lieben Gruß

    Jörg

    Gruß

    Jörg

    (Jaydee)

  • Wenn du hier nochmal den ersten Link anschaust:

    RE: Allgemeines Rechte-System (Foren & Benutzergruppen), Frage nach massivem Problem

    Das Flußdiagramm ist schon sehr aufschlussreich, finde ich und einfacher zu verstehen als jede lange Erklärung.


    Vermutlich ist das Ganze auch wesentlich einfacher, wenn man als absoluter Einsteiger gleich damit beginnt (und sich somit Schritt für Schritt damit beschäftigt), statt jahrzehntelang mit der Materie, aber anderen Systemen zu tun zu haben und sich dann umstellen zu müssen.

    Ganz bestimmt. Aber die Doku dazu lässt meiner Ansicht auch sehr zu wünschen übrig. Als ich von wbb2.3.6 auf wcf 4.1 umgestiegen bin, gab es noch ein 4.0 Handbuch, was das meiste erläutert hat. Leider ist das nicht mehr fortgeführt worden. Aber bei den Berechtigungen war das auch nicht so ausführlich. den verlinkten Thread mit Flußdiagramm fand ich aber sehr gut.

    Liebe Grüße
    Susi